实现目标:
集团酒店客房划入vlan10、采用dhcp动态分配ip,DHCP服务器架设在数据中vlan1。酒店财务单独vlan。
限制vlan10用户访问数据中心和集团内网。
集团内网包括三个***分支机构(10.0.0.0 0.0.3.255)、
15个分公司vlan(192.168.0.0 0.0.15.255)
实现硬件:
华为系列三层交换机
数据中心光纤直连核心交换机(做端口汇聚和负载均衡)
vlan10连接汇聚层 汇聚层和核心千兆光纤级联。
实现方法:
1、dhcp服务部署在域成员服务器中,两台,以便负载均衡。
且在域中授权,启用dhcp保留、用户类别,灵活调整dns、地址租约
2、核心交换机创建vlan10并配置管理ip
vlan10
interface vlan 10
ip address 192.168.10.1 255.255.255.0
3、在汇聚层二层交换机创建vlan10并添加端口
vlan 10
port ethernet0/45
4、在trunk上允许vlan10通过
首先在二层交换上
interface GigabitEthernet 1/1
port trunk permit vlan 10
再在三层核心上
interface GigabitEthernet 4/3
port trunk permit vlan 10
5、三层核心交换机启用dhcp中继应用到vlan10
dhcp-server 0 ip 192.168.1.19 192.168.1.18
interface vlan 10
dhcp-server 0
6、三层核心交换机ACL限制访问数据中心
acl name hotel advanced match-order auto
rule 0 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.10.1 0 destination-port eq telnet
//禁止vlan10用户telnet 交换机
rule 1 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.1.1 0 destination-port eq telnet
//禁止vlan用户telnet交换机
rule 2 permit udp source 192.168.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 3 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 4 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
//允许vlan10 访问vlan10 由于后面的acl采用0.0.15.255通配符掩码 所以导致dhcp获取过程很慢 所以必须加以上三条
rule 5 deny udp source 192.168.10.0 0.0.0.255 destination 192.168.0.0 0.0.15.255
rule 6 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.0.0 0.0.15.255
rule 7 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.0.0 0.0.15.255
//禁止酒店用户访问内网
rule 8 deny tcp source 192.168.10.0 0.0.0.255 destination 10.0.0.0 0.0.3.255
rule 9 deny udp source 192.168.10.0 0.0.0.255 destination 10.0.0.0 0.0.3.255
rule 10 deny ip source 192.168.10.0 0.0.0.255 destination 10.0.0.0 0.0.3.255
//禁止酒店用户访问***分支机构
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
![](https://s1.51cto.com/attachment/200912/200912071260170466562.png)
通过以上,以上功能基本实现,由于时间问题有些步骤省略了!
转载于:https://blog.51cto.com/coolfire/234780